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PROCEDE ET SYSTEME DYNAMIQUE DE SECURISATION D'UN RESEAU DE 
COMMUNICATION AU MOYEN D' AGENTS PORTABLES 

CADRE DE L ' I3WENTION 

La securit e du reseau inf ormatique est un element 

critique pour une entreprise et passe par la securisation 
des coiranuni cations et des acces aux elements du reseau. 
5 Avec l'avenement d' Internet et 1 ' opportunity commerciale 
qu'il represente, de plus en plus d' organisations ont 
ouvert leur reseau vers l'exterieur. Mais communication 
reseau et securite sont deux concepts fortement 
incompatibles, et les menaces qui decoulent d'un assemblage 

10 malheureux de ces deux concepts ont souvent amene les 
entreprises vers les deux seules possibility offertes par 
le marchd : pas d'ouverture sur Internet ou un blindage des 
flux de communications entrant et sortant entrainant des 
surcouts enormes. Le marche de la securite a done explose : 

15 les off res de securisation des reseaux d ; entreprise 
abondent mais restent axees autour d'une protection 
frontaliere entre deux sous-reseaux (principalement le 
reseau de 1' entreprise et Internet), Bien qu' Internet 
represente une menace potentielle indeniable, la majeure 

20 - partie -des- attaques et des menaces -pro vient de -1 * inter ieur-. 
Malgre ce constat, le marche actuel de la security continue 



de proposer des solutions qui repondent de moins en moins 
bien aux besoins des entreprises et, plus generalement , aux 
besoins des utilisateurs des reseaux. 

Les procedes utilises dans la securisation des reseaux 
informatiques reposent essentiellement sur la technologie de 
filtrage de paquets. Cette technologie permet d'autoriser le 
passage des flux de communication reseau tout en exercant un 
controle sur ces flux. Les meilleures illustrations (et les plus 
repandues) sont les ecluses (communement appelees « Firewall » 
dans le jargon informaticien : IEEE COMMUNICATIONS MAGAZINE. , 
Vol. 32 N°9 September 1994, page 50 a 57, S.M. BELLOVIN ET AL 
* NETWORK FIREWALLS ' ) et les passerelles filtrantes au niveau 
application (designees par le nom « Proxy ») . Ces deux types 
d'entites reseau creent une barriere entre deux sous-r<§seaux et 
realisent leur filtrage en fonction de certaines regies de 
securite definies de maniere coherente au sein d'une politique 
de securite. D'autres entites viennent completer 1' off re de 
securite en proposant des services complementaires : citons 
entre autres les systemes de detection d' intrusion (intrusion 
detection system ou IDS), les antivirus, les passerelles pour 
les reseaux prives virtuels (appelees passerelles VPN pour 
Virtual Private Network), les outils logiciels et materiels de 
chiffrement, les clients /serveurs d'authentification, les 
serveurs de journalisation, etc. Maigre la variete des produits, 
de nombreuses limitations deviennent de plus en plus 
contraignantes pour les entreprises. Leur demande a evolue a 
1' image du secteur de la securite informatique : la protection 
des reseaux ne doit plus etre focalisee sur les points de 
contact entre plusieurs sous-reseaux mais doit §tre axee sur la 
protection de chacun des elements constituant le reseau. 

Dans cette nouvelle optique, tous les services 
proposes par les differentes offres de securite devraient 
pouvoir s'exercer pour chaque element du reseau. Les 
technologies actuelles n'ont pas ete pensees en ce sens. Ainsi, 
deux principaux problemes freinent le passage vers une securite 



globale et homogene du reseau : la specialisation des offres de 
securite et le cout d'une telle securite. En effet, les entites 
dediees a la securisation du reseau sont confinees, de par la 
technologie employee actuellement, a un r6le defini au prealable 
5 : une ecluse ne peut £tre utilisee pour realiser autre chose que 
du filtrage ; on ne peut ni changer sa fonction ni lui raj outer 
de nouvelles fonctionnalites . Des lors, il est necessaire de 
combiner un grand nombre de produits pour atteindre une vaste 
gamme de services (et done une bonne securite) a un point donne 
10 du reseau. Ce grand nombre de produits engendre inevitablement 
des couts tres importants d' acquisition, de formation et de 
maintenance, sans attenuer les risques de def alliance dus au 
fait que ces produits n'ont pas ete forcement developpes pour 
travailler ensemble. Le cout de la protection d'un seul point 
15 etant deja relativement eleve, ce cout deviendrait prohibitif 
dans le cas d'une protection totale du reseau. 

Au-dela du cout, la multitude de produits special 

complique severement 1 ' administration du reseau et la mise en 
place d'une politique de securite efficace et coherente. Chaque 
produit dispose de sa propre interface d' administration et cette 
pluralite ne permet pas de fournir une vision organisee du 
reseau. Ces problemes de clarte et de coherence entraxnent non 
seulement la presence de failles dans la politique de securite 
mais egalement un ralentissement dans les temps de reaction 
25 d'une entreprise a deployer une politique de securite "face a des 
menaces . 

Dans la grande majorite des solutions actuelles pour 
la securisation des reseaux, 1' element central est 1' ecluse. La 
politique de securite de 1' entreprise est centree sur cette 

3 0 ecluse autour de laquelle peuvent graviter d'autres entites 
fournissant des services de securite complementaires . Un serveur 
d' administration permet de definir les differents elements du 
reseau (ordinateurs, peripheriques reseau, services reseau, 
utilisateurs -) et de definir des regies de filtrage entre ces 

35" 'differents elements". Ces regies de "filtiage constituent la 
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politique de securite qui sera ensuite envoyee a l'ecluse : 
l'autorisation ou le refus de passage des paquets des flux de 
communication sont alors realises par l'ecluse conformement aux 
regies de filtrage. Historiquement, 1' envoi de la politique de 
securite a cons ti cue une evolution des ecluses permettant de 
palier a la rigidite et au manque d'evolutivite" d'une 
configuration ecrite directement dans l'ecluse. De plus, les 
regies de filtrage ont evolue pour permettre de filtrer de 
nouveaux protocoles en proposant de definir ses propres elements 
du reseau dans le serveur d' administration. Toutes ces 
nouveautes ont fait avancer la technologie des ecluses jusqu'au 
stade ait de « firewall de troisieme generation ». Neanmoins, 
les besoins naissant en mati£re de security reseau necessitent 
une nouvelle evolution que ne pourraient apporter des ecluses, 
15 quelle que soit leur generation. Cette evolution se definit par 
la possibility de realiser n'importe quel type de traitement sur 
les paquets par la meme entity reseau, que ce soit du filtrage 
de type ecluse, de la detection d' intrusion, de la detection de 
virus, de la qualite de service reseau, etc. En effet, il 
20 devient primordial d' analyser et de controler les informations 
transitant dans les flux autorises par l'ecluse, car ces flux 
peuvent etre utilises a des fins de piratage inf ormatique . Dans 
le moddle en couche de la norme OSI (ISO/IEC 7498-1 :1994) - 
dont l'une des implementations est le protocole TCP/IP (Internet 
25 Protocol : RFC 791, Transmission Control Protocol : RFC 793), le 
filtrage des ecluses est realise au niveau des couches reseau et 
transport. La couche la plus haute est la couche application et 
contient les informations transmises par les applications 
client/serveur. II existe un tres grand nombre de protocoles 
dans la couche application, ce qui represente autant de flux 
d' informations susceptibles de contenir une attaque. Chaque 
jour, de nouvelles failles sont decelees dans tel ou tel 
protocole et permettent a des pirates informatiques d'attaquer 
le systeme hebergeant un service utilisant ce protocole. un 
35 produit de security devrait done etre en mesure de recuperer de 
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nouveaux services pour rester a jour face aux menaces. Autour 
d'une mime politique de securite, 1 ' administrateur devrait 
pouvoir definir les services qu'il veut realiser sur chacun des 
points du reseau, en fonction des utilisateurs du reseau et en 
fonction des menaces du moment. 

Une des methodes pour y parvenir est de disposer de 
codes mobiles. La theorie des codes mobiles repose sur la 
presence d'un module capable d'executer du code qui lui est 
fourni a distance. Ceci permet de conserver une plate- forme 
homogene capable d'executer n'importe quel type de programme. 
I. 'une des implementations du concept de codes mobiles repose sur 
la presence d'une machine virtuelle. Une machine virtuelle emule 
un processeur (c'est-a-dire qu'elle simule, sur un autre 
materiel, le fonctionnement de ce processeur). C'est 
15 processeur virtuel avec un langage qui lui est propre. A 

titre, il dispose de registres de travail et execute les 
Sequences d' instructions d'un rnrlP rnrnn x lei rten« son rvrrTr, r <a 
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un 
ce 



langage. Ceci est realise non pas de maniere materielle mais de 
maniere logicielle. 

20 La machine virtuelle apporte 1 ' evolutivite a un 

systeme, en permet tant l'apport de nouvelles f onctionnalites . 
Elle apporte egalement 1 ' independence par rapport au systeme et 
done la portability. 

Certaines des ecluses les plus evoluees integrent une 
25 machine virtuelle afin de realiser le filtrage de paguets par un 
code mobile genere a partir de la politique de securite definie 
dans le serveur d' administration, comme presente dans le brevet 
US 5606668 ou le brevet US 5835726. Cette methode d'utilisation 
de la machine virtuelle, bien que tres utile, continue de 
confiner le r6le de 1'ecluse a un r6le de filtrage simpliste car 
la machine virtuelle est cantonnee a 1 ' autorisation ou au refus 
de passage des paquets en. fonction de regies de securite. 

Bien gu'apportant quelques avantages, la machine 
virtuelle presente un defaut majeur : la baisse sensible de 
35 performance. En effet, la machine" virtuelle emule un processeur 
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au-dessus d'un vrai processeur, induisant par-la meme une 
surcouche : les codes mobiles (appeles aussi applets dans le 
jargon informaticien) sont executes par la machine virtuelle qui 
est elle-meme executee par le processeur. Cette couche 
d' abstraction logicielle provoque une baisse de performance qui 
peut etre critique dans des applications temps reel de type 
traitement de flux reseau. 

Une autre implementation possible du concept de 
codes mobiles consiste a envoyer directement du code natif 
(que nous appellerons, par convention, agent) a un 
dispositif. Get agent est un code compile dans le langage 
du processeur. Cette solution est optimale en terme de 
Vitesse d'execution. Les agents etant directement executes 
par le processeur, ils peuvent etre optimises compte tenu 
des caracteristiques particulieres de ce processeur. Leur 
compilation se fait dans une phase anterieure (generalement 
au moment du developpement de 1 ' agent ) . Le compilateur 
traduit alors le code de 1' agent : a partir d'un code 
developpe dans un langage de haut niveau (c est-a-dire 
comprehensible facilement par l'homme par ses similitudes 
avec un langage naturel) , le compilateur genere une 
traduction du code dans un langage de has niveau (compris 
par la machine). La compilation d'un code comprend 
differentes etapes au travers desquelles le code subit 
plusieurs transformations. Dans une premiere etape, les 
differents fichiers composant le code sont compiles 
individuellement en langage d' assemblage (phase de 
compilation), puis ils sont translates du langage 
d'assemblage au langage machine, c'est-a-dire en langage 
binaire (phase d'assemblage). On dispose alors de fichiers 
ob jets qui sont la traduction en langage machine des 
fichiers sources. La derniere phase genere 1' executable 
proprement dit : les fichiers sont lies les uns aux autres 
afin de former un seul fichier binaire (phase dite 
d' edition de liens). Le compilateur doit resoudre toutes 
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les dependances de chacun des fichiers objets afin de 
TZT "* mtabl * COl ^ent. ^ ' inconvenient majeur de 
cette methode est ou-elle est incompatible avec une 
-dependence de la plate-forme et un lavage proprietaire 
5 optxm.se pour les besoins de ladite plate-forme. En effet 
les codes complies ne soat pas du tout portables car ll' s 
dependent du processeur du dispositif. Sauls les fichiers 
sources sent portab.es. L a solution de distribuer lis 

10 V S ° UrCeS POSS dS »- te «« Problemes = le code est 

10 Irsrble et modifiable par tout le monde, ce gui pent etre 
un probleme pour une entreprise desireuse de VLlZlZl 

coIrl^elT r° lr " £aire ° U - algoritb^s 

confxdentrels. En outre, les fichiers sources demandant 

IS proSj""* ^ 1S Pr ° CeSSeUr """""=• " P-»it ptu 

probable qu-un client s'etant procure diff&ents 
dxsposrtrfs ,avec des processeurs differents, soit pret I 
effectuer les compilations des . odes source., avec > ^ ! 
fors le bon compilateur, en vue de disposer de differentes ■ 
versions binaires d.un m,me code source, organiser Renvoi 
0 du bon code compile aux divers dispositifs. En outre le 
fart de pouvoir envoyer au dispositif des codes compiles 
dans le langage de son processeur pent s-averer tres 
dangereu*. En ef fet , on autorise alors n , ^ 

5 develT ' Y m " UUS "- -1 intentions I 

cZtrof" Un i °° ae de ^endre entierement le 

Us agencT 1 " les possibilites 

des agents, rl est necessaire d' effectuer des centrales 

Pe^forLn 1 ;:;. ^ Utl ° n " ^ —-a— tlZ 

' L- invention, objet du present brevet permet d» 

resoudre les probltaes .vogues precedemment sans presenter 

:ns::::r n itr ts ae r art --t:i 

conserver les avantages des codes mobiles tout en 
accrorssant les performances . E1 l_ e pallia les problJes et 




les limitations des technologies existantes en proposant 
une solution innovante, 

DESCRIPTION DE L ' INVENTION 
Le cadre general de 1' invention concerne une methode 
5 de securisation des reseaux informatiques par le controle des 
flux de communication entre elements desdits reseaux. Ce 
controle s'effectue grace a la realisation de traitements sur 
les paquets des flux de communication par un proc^de flexible, 
dynamique, dvolutif , qui peut etre administre de maniere simple 
10 et deploye de fagon homogene sur 1' ensemble du reseau. 

La presente invention se rapporte a un procede de 
traitements £volutifs des flux de communication reseau, ces 
traitements etant effectues en temps r£el . 

En outre, la presente invention permet de r^aliser 
15 tout type de traitements evolues des paquets a tous les niveaux 
du modele OSI et en particulier au niveau de la couche 
application. 

En outre, la presente invention rend le systeme 
evolutif en terme de nouvelles fonctionnalites pour un type de 
20 traitement donne (il est possible, par exemple, de raj outer 
facilement de nouvelles fonctionnalites de filtrage a une <§cluse 
(firewall) ou de nouvelles signatures virales a ion antivirus. 

En outre, la presente invention permet a un systeme de 
changer de type de traitement en temps reel (une ecluse peut 
25 devenir un antivirus ou un systeme de detection d' intrusion ou 
encore une passerelle VPN) . 

En outre, la presente invention permet a un systeme de 
realiser tous les changements evoques precedemment , et ce, de 
maniere Evolutive et en temps reel. 
3 0 En outre, la presente invention permet d'apporter une 

protection efficace et personnalisable en tout point du reseau, 
et ce de maniere homogene. 

En outre, la presente invention apporte des solutions 
en terme de performance et de rapidite d' execution permettant a 
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un systeme embarque de traiter efficacement des flux de 
coinmuni cation en temps reel. 

La presente invention concerne un procede permettant 
de realiser 1' analyse et/ou la modification selective et/ou le 
filtrage selectif de paquets de donnees traversant un dispositif 
place en coupure dans un reseau informatique ; ledit dispositif 
comprenant un processeur executant un compilateur et un 
logiciel conformement a une politique de securite ; ledit 
procede etant caracterise en ce qu'il comprend les etapes 
suivantes : 

- l'etape de definir ladite politique de securite au 
moyen d' agents portables, ecrits dans un langage informatique 
independant du langage dudit processeur et dedies a 1 ' analyse 
et/ou a la modification selective et/ou au filtrage selectif 
desdits paquets de donnees ; 

- l'etape de demarrer 1' execution dudit compilateur, 
par ledit logiciel, pour t raduire lesdits agents portables en 
des agents executables ecrits dans le langage dudit processeur ; 

- l'etape d'executer ledit logiciel pour filtrer 
lesdits paquets de donnees traversant ledit dispositif, en 
autorisant ou non leur passage, conformement a ladite politique 
de securite ; 

- l'etape d' analyser, lesdits paquets de donnees 
autorises par ledit logiciel a traverser ledit dispositif, en 
executant lesdits agents executables par ledit 
processeur ; et/ou 

- l'etape de modifier selectivement, lesdits paquets 
de donnees autorises par ledit logiciel a traverser ledit 
dispositif, en executant lesdits agents executables par ledit 
processeur ; et/ou 

- l'etape de filtrer selectivement, lesdits paquets de 
donnees autorises par . ledit logiciel a traverser ledit 
dispositif, en executant lesdits agents executables par ledit 
processeur. 
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La presente invention se caracterise done par un 
dispositif se connectant au reseau. La connexion au reseau 
induit une coupure du reseau en deux sous-reseaux, ce qui permet 
d'intercepter tous les flux de communication d'un des sous- 
reseaux a destination de 1' autre. 

Ce procede permet a un dispositif reseau de recevoir 
une politique de securite composee de regies de filtrage 
classiques et d' agents de traitement des paquets. Ces agents 
sont compiles automatiquement dans le dispositif : il s 
deviennent alors directement executables par le processeur, ce 
qui est optimal en terme de vitesse d' execution. Ainsi, le 
procede permet a un dispositif de modifier son propre 
comportement en fonction des agents telecharges, ce qui le rend 
totalement evolutif. En effet, cette modification de 
comportement peut etre une modification globale du role du 
dispositif (une ecluse devient un antivirus, par exemple) ou une 
simple mise a jour des fonctionnalites (un raj out de nouvelles 
detections de signatures par exemple) . De plus, les agents sont 
envoyes dans un langage independent du processeur du dispositif. 
Cette independence assure leur portability sur des dispositifs 
utilisant des processeurs differents. De plus, cela permet 
eventuellement de concevoir un langage proprietaire, 
intermediate entre un langage de haut niveau et le langage 
natif du processeur, ce langage proprietaire pouvant avoir des 
fonctionnalites adaptees aux besoins en matiere d' analyse, de 
modification et de filtrage de paquets dans des flux' de 
communication reseau. 

Avantageusement, la politique de securite comprend en 
outre une definition des differents objets dudit reseau 
informatique. 

Avantageusement, la politique de securite comprend en 
outre une definition des differents services dudit reseau 
informatique. 
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Avantageusement, la politique de securite comprend en 
outre une definition des differents utilisateurs dudit reseau 
inf ormatique . 

Avantageusement, le precede selon 1' invention 
comprend l'etape de generer des parametres de configuration 
permettant de configurer lesdits agents portables en fonction 
desdits utilisateurs dudit reseau inf ormatique . 

Avantageusement, la politique de securite comprend en 
outre une definition dudit dispositif. 

Ceci permet a la politique de securite d'inclure de 
multiples parametres representant divers aspects du reseau. II 
est done possible de definir des regies de filtrage entre 
elements du reseau ou entre des utilisateurs et des services ou 
encore entre le dispositif et les services reseaux. A tons ces . 
types de regies de filtrage, il est possible de rajouter des 
agents qui vont realiser des traitements supplementaires . Le 
Ipcrtciel embaroue danp le aiaaasitif alaliss a i ar S fiitga oe 
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en fonction des regies de la politique de securite et, pour les 
paquets autorises par ces regies, lance 1' execution des agents 
qui ont ete raj out es pour ses regies. 

Ainsi le dispositif n'est pas limite au travail d'une 
ecluse (filtrage de paquets). En effet, il est possible, au 
niveau des regies de filtrage du logiciel embarque, d'autoriser 
tous les flux de paquets a traverser le dispositif <ce qui a 
25 pour effet de desactiver la fonctionnalite d' ecluse), tout en 
rajoutant des agents dedies, par exemple, au filtrage des 
tentatives d' intrusion. 

Avantageusement, ledit langage informatique 
desdits agents portables est un langage de bas niveau dedie 
b. des traitements sur lesdits paquets de donnees dudit 
reseau informatique et permettant de controler et de 
limiter les actions possibles desdits agents portables au 
sein dudit dispositif. 

... .. . Ainsi ' !es agents ne_peuvent etre lus car ils 

sont inintelligibles pour i'homme"." be' plus ) " ils "peuvent ' 
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prealablement etre developpes dans un langage de haut 
niveau au moment de leur conception puis compiles et 
fournis par la suite dans ce langage de bas niveau. Le 
fournisseur des agents conserve ainsi les sources de ses 
agents. Le langage dans leguel sont ecrits les agents est 
specialement adapte aux traitements des flux de 
communication reseau et permet de garder un controle sur 
les possibility de 1' agent au sein du dispositif. En 
effet, un agent, directement compile dans le langage du 
processeur du dispositif, pourrait potentiellement 
effectuer des dommages graves au dispositif s'il n'y a pas 
de controle lors de son execution. Un controle de 1' agent 
pendant son execution affecterait tres nettement ses 
performances. En limitant les possibility de 1' agent dans 
le langage dans leguel il est ecrit et dans le compilateur 
de ce langage, les agents sont controles lors de la 
compilation et non lors de 1' execution ce qui augmente les 
performances . 

Avantageusement, le procede selon 1' invention 
comprend l'etape de definir, sur un serveur distant dudit 
dispositif, ladite politique de securite. 

Avantageusement, le procede selon 1' invention 
comprend l'etape de definir, sur ledit dispositif, ladite 
politique de securite. 

La politique de securite pent etre configuree a 
distance et envoyee au dispositif via le reseau. Elle peut 
egalement etre definie directement sur le dispositif avec, par 
exemple, un serveur web embarque dans le dispositif ou via un 
port serie du dispositif. 

Avantageusement, le procede selon 1' invention 
comprend l'etape d'authentifier le ou les utilisateurs, non 
authentifies, dudit dispositif. 

Avantageusement, ladite politique de securite comprend 
en outre une definition desdits utilisateurs authentifies dudit 
dispositif. 
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Avantageusement, le procede selon 1' invention 
comprend l'etape d'authentifier ledit ou lesdits utilisateurs , 
non authentifies, dudit dispositif a 1'aide d'un moyen 
d' identification associe audit dispositif. 

Avantageusement, le procede selon 1' invention 
comprend l'etape d'authentifier ledit ou lesdits utilisateurs, 
non authentifies, dudit dispositif a l'aide d'une application 
client/serveur dont 1 ' application serveur est contenue dans 
ledit dispositif. 

II devient done possible de definir une politique de 
securite en fonction des utilisateurs du dispositif. Le procede 
permet ainsi de definir une politique de securite et des agents 
propres aux utilisateurs du dispositif : sur le meme dispositif, 
des utilisateurs differents se verront attribuer des politicoes 
15 de securite differentes. A titre d'exemple purement illustratif 
et non limitatif des possibility d'application de l'invention, 

Qn m^t-tre en place une politiqu e de s e cu rity ri™* i^^nl 

un stagiaire, apres s'etre authentifie, n'aura acces qu'aux 
services reseaux et aux serveurs non confidentiels, alors qu'un 
20 developpeur pourra acceder aux serveurs de developpement . 

Les methodes d'authentification des utilisateurs du 
dispositif peuvent etre de plusieurs sortes : au moyen d'un 
element du dispositif (a titre d'exemple purement illustratif et 
non limitatif des possibilites d'application de l'invention, on 
25 pent citer, entre autres, un lecteur de carte a puces on un 
identificateur biometrique) ou par un mecanisme de type client / 
serveur dans lequel le serveur d'authentification residerait 
dans le dispositif. Les informations d'authentification peuvent 
alors etre controlees dans le dispositif ou sur un serveur 
30 distant dans lequel est stockee la politique de securite. 

Avantageusement, le procede selon l'invention 
comprend l'etape d'executer des fonctions d'une bibliotheque de 
fonctions contenue dans ledit logiciel et appelee par lesdits 
agents executables. 
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Ceci permet de mettre a disposition des agents 
executables un ensemble de fonctions repondant aux besoins et 
aux specif icites du dispositif . 

Avantageusement, le precede selon 1' invention 
comprend l'etape d'executer des fonctions, de ladite 
bibliotheque de fonctions, specialises dans une gestion d'un 
cache desdits paquets de donnees. 

Avantageusement, la gestion dudit cache desdits 
paquets de donnees comprend les etapes suivantes : 

- l'etape, apres execution desdits agents executables, 
de memoriser, dans ledit cache, des informations de paquets 
concernant lesdits paquets de donnees et en outre lesdits 
paquets de donnees eux-memes lorsqu'ils ont ete modifies lors de 
ladite execution ; 

- l'etape, lors de l'arrivee d'un paquet entrant dans 
ledit dispositif, de verifier, grace audites informations de 
paquets memorisees dans ledit cache, si ledit paquet entrant est 
un paquet deja recu ; 

- l'etape, lorsque ledit paquet entrant n'est pas un 
paquet deja recu, d'executer lesdits agents executables ; 

- l'etape, lorsque ledit paquet entrant est un paquet 
deja recu, de determiner, grace audites informations de paquets 
memorisees dans ledit cache, si ledit paquet deja recu avait ete 
modifie par lesdits agents executables ; 

- l'etape, lorsque ledit paquet deja recu avait ete 
modifie par lesdits agents executables, de transmettre vers 
ledit reseau informatique, sans executer lesdits agents 
executables, une version dudit paquet deja recu memorisee dans 
ledit cache ; 

- l'etape, lorsque ledit paquet deja recu n'avait pas 
ete modifie par lesdits agents executables, de transmettre vers 
ledit reseau informatique ledit paquet entrant tel quel, sans 
executer lesdits agents executables. 

Cet ensemble de fonctions permet aux agents de 
disposer d'une gestion adaptee de cache de paquets. Le cache de 
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paquet permet aux agents de ne pas voir les paquets de donnees 
deja recus afin de conserver la vision d'un flux coherent. De 
plus, le cache de paquets de donnees permet d'ameliorer 
sensiblement les performances du dispositif en court-circuitant 
1' execution des agents et en envoyant directement le paquet deja 
recu - dans le cas ou il n'a pas ete modifie par les agents lors 
de sa premiere reception - ou sa version modifiee, stockee dans 
le cache de paquets de donnees, ' - dans le cas ou il a ete 
modifie par les agents lors de sa premiere reception. 

Avantageusement, le procede selon 1' invention 
comprend I'etape d'executer des fonctions, de ladite 
bibliotheque de fonctions, specialises dans une gestion des 
couches reseau et transport du protocole de communication 
utilise. 

Avantageusement, la gestion desdites couches reseau et 
transport comprend les etapes suivantes : 

V6l-flnf* de memoriser des infnrmahinr. e ri Q iiaatQCQie 

desdites couches reseau et transport desdits paquets de donnees 
traversant ledit dispositif afin de realiser un suivi des 
differ ents flux desdits paquets de donnees ; 

- I'etape de memoriser des modifications desdits 
paquets de donnees realisees par lesdits agents executables ; 

- I'etape de mettre a jour lesdites informations de 
protocole desdites couches reseau et transport desdits paquets 
de donnees traversant ledit dispositif, en fonction desdites 
informations de protocole et desdites modifications memorisees, 
sur lesdits paquets de donnees afin de conserver une coherence 
des flux desdits paquets de donnees. 

Le procede permet de conserver les informations 
importantes des flux autorises afin de pouvoir modifier et 
analyser correctement les informations des paquets de donnees en 
cours de traitement. A titre d'exemple purement illustratif et 
non limitatif des possibility d' application de 1' invention, les 
inf options conservees peuvent etre les numeroa de sequence et 
d' acquit tement du protocole TCP~' (teis "que" definis "dans " la" RFC " 
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793 deja citee) ce qui permet d'agrandir ou de reduire les 
paquets de donnees, de recalculer les sommes de controle des en- 
tetes, de conserver des informations passees dans le flux tel 
qu'un nom d'utilisateur, un mot cle important, l'appel d'une 
commande speciale, etc. 

Avantageusement, le precede selon 1' invention 
comprend l'etape d'executer des fonctions, de ladite 
bibliotheque de fonctions, specialisees dans une recherche de 
motifs et d' expressions regulieres. 

Par le biais de ces fonctions, les agents peuvent 
alors realiser des recherches complexes de motifs dans les 
paquets, ce que necessite souvent l'analyse de paquets de 
donnees : a titre d'exemple purement illustratif et non 
limitatif des possibilites d' application de 1' invention, ces 
fonctions peuvent etre, entre autres, des fonctions de 
comparaisons de chaines, de bloc memoire, d' expressions 
regulreres, des fonctions de recherche simultanee de plusieurs 
chaxnes dans un bloc memoire, etc. 

Avantageusement, le procede selon 1' invention 
comprend l'etape d'executer des fonctions, de ladite 
bibliothegue de fonctions, specialisees dans une communication 
entre lesdits agents executables. 

Dans de nombreux cas, un agent aura besoin d'echanger 
des informations avec les autres agents afin de les avertir ou 
d'etre prevenu d'evenements imminents : un exemple purement 
xllustratif et non limitatif des possibilites d' application de 
I'xnvention est celui d'un agent ayant detecte la presence d'un 
virus et decidant d'interdire le passage du paquet. II doit 
alors avertir les autres agents que le paquet a ete detruit. 

Avantageusement, le procede selon 1' invention 
comprend l'etape d'executer des fonctions, de ladite 
bibliothegue de fonctions, specialisees dans une communication 
entre lesdits agents executables et desdits objets dudit reseau 
inf ormatique . 
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Le precede permet de dormer la possibility aux agents 
de dialoguer avec des composants reseaux dans leur protocole de 
communication. Ceci permet, entre autres, de reconfigurer des 
peripheries ou d'echanger des informations. En effet, un 
reseau efficacement protege est un reseau ou chaque element's un 
role coherent dans la politique de securite. II est important 
que chaque composant du reseau puisse participer a la securite 
du reseau. Un exemple purement iliustratif et non limitatif des 
possibilites d' application de 1' invention est celui d'un agent 
utilisant les fonctions de la bibliotheque pour reconfigurer la 
politique de securite d'un routeur via le protocole SNMP (simple 
Network Management Protocol : RFC 1157) ou pour envoyer des logs 
a des serveurs de logs deja existants (comme syslog par 
exemple : RFC 3164) . 

15 Avantageusement, le precede selon l'invention 

comprend l'etape d'associer des composants materiels specialises- 

3wfrt d i ap o aitif k fa fonrHmc, ^ ladi±e »^ 1 w>lA — ^ 

fonctions afin d'accelerer 1' execution desdites fonctions. 

Afin d'optimiser les performances du dispositif, les 
fonctions les plus utilisees de la bibliotheque de fonctions 
peuvent etre directement integrees au dispositif au niveau 
materiel : par exemple, des algorithmes de chiffrement ou de 
recherches de motifs peuvent etre cables dans un coprocesseur 
declie. ^acceleration materielle permet d'obtenir un gain de 
performance non negligeable pour des dispositifs de traitements 
en temps reel. 

Avantageusement, le procede selon 1' invention 
comprend l'etape de modifier ladite politique de securite en 
executant lesdits agents executables par ledit processeur. 

Pour obtenir une securite globale et coherente du 
dispositif et du reseau en general, les agents doivent 
pouvoir influer sur la .politique de securite en cours. En 
effet, les agents peuvent realiser des analyses tres 
_poussees sur les paquets, entre autres, en vue de detecter 
35 des attaques reseaux, des intrusions, des comportements ' 
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anormaux, des virus, des depassements de quota, des motifs 
non autorises a transiter sur le reseau. Toutes ces 
analyses amenent les agents a prendre des decisions de 
modification de la politique de securite. Un exemple 
purement illustratif et non limitatif des possibility 
duplication de l'invention est celui d'un agent charge de 
detecter la negociation -du port du canal de donnees du 
protocole FTP (File Transfer Protocol : RFC 959) et devant 
decider d'autoriser ou non les paquets du canal de donnees 
a traverser le dispositif. Un autre exemple est celui d'un 
agent, detectant une tentative d'attaque depuis un poste A, 
et rajoutant alors une regie de filtrage interdisant toute 
communication avec le poste A. 

L'invention concerne egaleraent un systeme permettant 
de realiser 1' analyse et/ou la modification selective et/ou le 
filtrage selectif de paquets de donnees; ledit systeme 
comprenant : 

- un dispositif traverse par lesdits paquets de 
donnees et place en coupure dans un reseau informatique, ledit 
dispositif comprenant un processeur executant un compilateur et 
un logiciel conformement a une politique de securite et ; 

- des agents portables, destines a definir ladite 
politique de securite, ecrits dans un langage informatique 
independent du langage dudit processeur et dedies a 1' analyse 
et/ou la modification selective et/ou le filtrage selectif 
desdits paquets de donnees ; 

ledit compilateur etant active par ledit logiciel pour 
traduire lesdits agents portables en des agents executables 
ecrits dans le langage dudit processeur ; 

ledit logiciel comprenant des moyens de filtrage pour 
filtrer lesdits paquets de donnees traversant ledit dispositif, 
en autorisant ou non leur passage, conformement a ladite 
politique de securite ; 

lesdits agents executables etant executes par ledit 
processeur pour : 
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- analyser lesdits paquets de donnees autorises par 
ledit logiciel a traverser ledit dispositif , et/ou 

- modifier selectiveraent lesdits paquets de donnees 
autorises par ledit logiciel a traverser ledit dispositif, et/ou 

- filtrer selectiveraent lesdits paquets de donnees 
autorises par ledit logiciel a traverser ledit dispositif. 

Avantageusement, ladite politique de securite" comprend 
en outre une definition des differents objets dudit reseau 
inf ormatique . 

Avantageusement, ladite politique de securite comprend 
en outre une definition des differents services dudit reseau 
inf ormatique . 

Avantageusement, ladite politique de securite comprend 
en outre une definition des differents utilisateurs dudit reseau 
inf ormatique . 

Avantageusement, ledit systeme comprend en outre des 
moyens — de generation de Paramjfcrgjg de configuration 
configurer lesdits agents portables, en fonction desdits 
utilisateurs dudit reseau inf ormatique . 

Avantageusement, ladite politique de securite comprend 
en outre une definition dudit dispositif. 

Avantageusement} ledit langage informatique est un 
langage de bas niveau dedie a des traitements sur lesdits 
paquets de donnees dudit reseau informatique et permettant de 
controler et de limiter les actions possibles desdits agents 
portables au sein dudit dispositif. 

Avantageusement, ledit systeme comprend un serveur 
distant dudit dispositif pour definir ladite politique de 
securite . 

Avantageusement, ledit dispositif comprend des moyens 
d' administration pour definir ladite politique de securite. 

Avantageusement,. ledit systeme comprend des moyens 
d' authentication du ou des utilisateurs, non authentif ies , 
dudit dispositif. 
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Avantageusernent, ladite politique de securite comprend 
en outre une definition desdits utilisateurs authentifies dudit 
dispositif . 

Avantageusernent, ledit dispositif comprend un moyen 
d' identification pour authentifier ledit ou lesdits 
utilisateurs, non authentifies, dudit dispositif. 

Avantageusernent, ledit dispositif comprend une 
application serveur d'une application client /serveur destinee a 
authentifier ledit ou lesdits utilisateurs, non authentifies, 
dudit dispositif. 

Avantageusernent, ledit logiciel comprend une 
bibliotheque de fonctions dont les fonctions sont appelees par 
lesdits agents executables. 

Avantageusernent, ladite bibliotheque de fonctions 
comprend en outre des fonctions specialises dans une gestion 
d'un cache desdits paquets de donnees. 

Avantageusernent, ledit cache desdits paquets de 
donnees comprend : 

- une memoire pour stocker, apres execution desdits 
agents executables, des informations de paquets concernant 
lesdits paquets de donnees et pour stocker lesdits paquets de 
donnees eux-memes ; 

- des moyens de contr6le pour verifier, grace audites 
informations de paquets memorisees dans ledit cache, si un 
paquet entrant est un paquet deja recu et s'il avait ete modifie 
par lesdits agents executables ; 

- des moyens d' activation pour activer, en fonction 
des verifications operees par les moyens de contr6les, 

- soit des moyens de transmission pour transmettre 
vers ledit reseau informatique sans modification un paquet de 
donnees stocke dans ladite memoire ; 

- soit des moyens de transmission pour transmettre 
vers ledit reseau informatique sans modification un paquet 
entrant . 
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Avantageusement, ladite bibliotheque de fonctions 
comprend en outre des fonctions specialises dans une gestion 
des couches reseau et transport du protocole de communication 
utilise. 

Avantageusement, ledit dispositif comprend : 

- au moins une memoire pour stocker des informations 
de protocole desdites couches reseau et transport desdits 
paquets de donnees traversant ledit dispositif afin de realiser 
un suivi des differents flux desdits paquets de donnees, et pour 
stocker des modifications desdits paquets de donnees realisees 
par lesdits agents executables ; 

- des moyens de mise a jour desdites informations de 
protocole desdites couches reseau et transport desdits paquets 
de donnees traversant ledit dispositif, en fonction desdites 
informations de protocole et desdites modifications memorises 
sur lesdits paquets de donnees afin de conserver une coherence 

Avantageusement, ladite bibliotheque de fonctions 
comprend en outre des fonctions specialises dans une recherche 
de motifs et d' expressions regulieres. 

Avantageusement, ladite bibliotheque de fonctions 
comprend en outre des fonctions specialises dans une 
communication entre lesdits agents executables. 

Avantageusement, ladite bibliotheque de fonctions 
comprend des fonctions specialises dans une communication entre 
lesdits agents exeutables et desdits objets dudit reseau 
inf oonatique . 

Avantageusement, ledit dispositif comprend des 
composants materiels speialises associe a des fonctions de 
ladite bibliotheque de fonctions afin d'accelerer locution 
desdites fonctions. 

Avantageusement,. lesdits agents executables, executes 
par ledit processeur, modifient ladite politique de securite. 
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Le systeme, objet de la presente invention, 
permet ainsi de realiser parfaitement toutes les 
fonctionnalites du procede decrit precedemment . 

Afin de mieux faire coirprendre 1' invention, differ ents 
exemples vont etre decrits a l'aide de figures. Ces exemples 
donnent, a titre purement illustratif, des modes de realisation 
possibles, modes auxquels ne se limite pas 1' invention. 

La figure 1 represente le schema general de 
1' interconnexion du dispositif agissant dans 1' invention avec un 
reseau informatique. 

La figure 2 illustre 1'effet de la compilation des 
agents au sein du dispositif. 

La figure 3 represente le schema general de 
1' interconnexion du dispositif agissant dans 1' invention avec un 
reseau informatique apres la compilation des agents portables en 
agents executables. 

La figure 4 represente 1' automate de traitement des 
paquets et d' execution des agents dans le dispositif. 

La figure 5 represente le schema general du reseau 
informatique associe a une politique de securite. 

La figure 6 presente 1 'automate d'un agent susceptible 
de modifier la politique de securite. 

La figure 7 presente une procedure d' authentication 
d'un utilisateur du dispositif avec un serveur distant. 

La figure 8 presente une procedure d'authentif ication 
d'un utilisateur du dispositif avec une application serveur dans 
le dispositif. 

La figure 9 represente 1' automate de traitement des 
paquets d'un agent. 

La figure 10 represente un autre mode d' interconnexion 
du dispositif a un reseau informatique. 

La figure 11 represente 1' automate de cache de 

paquets . 

La figure 12 presente un exemple de communication 
entre un agent et differ ents elements du reseau. 



23 



La figure 13 illustre la fagon dont des 
composants materiels specialises peuvent realiser certaines 
fonctions de la bibliotheque de f one ti oris . 

Sur la figure 1, le dispositif d contient uri 
processeur P. Le dispositif D est place en coupure d'un reseau 
informatique quelconque : il pent aussi bien s'agir d'un 
intranet d'entreprise, du reseau Internet, de deux sous-reseaux 
adjacents ou bien simplement de deux postes. 11 pent egalement 
s'agir d'un ordinateur connecte a un reseau. On entend par 
coupure la separation physique du reseau R en deux sous-reseaux 
relies entre eux a l'aide du dispositif D. Mnsi tout flux de 
communication compose de paquets de donnees PD d'un des sous- 
reseaux a destination de 1' autre sous-reseau doit traverser le 
dispositif D. ceci assure le controle de tout flux de donnees et 
permet de fournir des services de securite et de filtrage au 
niveau du dispositif D. Le dispositif D comprend en outre un 
loqiciel T, et un compilateur C oni sot^ r^t- ^ g A ^n^o 
4 par le processeur P. Le dispositif D contient egalement une 
politique de securite PS. Cette politique de securite PS est 
definie au moyen d'agents portables Al ecrits dans un langage 
informatique Li independant du langage du processeur p. 

La phase de compilation des agents est presentee 
en figure 2. Des que la politique de securite ps est 
presente dans le dispositif d, le logiciel L appelle 
automatiquement le compilateur c afin d'effectuer la 
compilation des agents portables Al presents dans la 
politique de securite PS et ecrits dans ledit langage 
informatique Li independant du langage du processeur P pour 
les traduire en agents executables A2 ecrits dans le 
langage du processeur P. (langage represents par LP) Les 
agents portables Al ne sont pas executables par le 
processeur P mais ils le deviennent apres compilation sous 
leur forme d'agents executables A2 . Les agents executables 
A2 remplacent les agents portables Al dans la, definition de 
la politique de securite ps . 
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La figure 3 illustre l'etat du dispositif 
presente dans la figure 1 apres la compilation, montree en 
figure 2, des agents portables Al en agents executables A2 . 
Les differences par rapport a la figure 1 sont les 
suivantes : 

- Les agents portables Al definissant la 
politique de securite PS ont ete remplaces par les agents 
executables A2 ecrits dans le langage du processeur P 
(langage represents par LP) et qui sont leur version 
compilee . 

- Les agents executables A2 sont alors executes 4 
par le processeur P au meme titre que le logiciel L et le 
compilateur C. 

Les agents executables A2 sont done au meme niveau que 
le logiciel L et sont executes 4 par le processeur p. 
Contrairement a des codes mobiles (ou applets dans le jargon 
informatique) , il n'y a pas de couche d' abstraction logicielle 
(comme une machine virtuelle) . L' agent executable A2 apporte une 
nouvelle fonctionnalite au dispositif D, tout se passant comme 
si cette fonctionnalite etait deja presente dans le logiciel L. 

Les agents portables Al peuvent etre developpes dans 
un langage de haut niveau (comme le langage « C » defini par la 
norme ISO/IEC 9899:1999) ou intermediate (comme de 
l'assembleur) puis traduit si necessaire vers un langage de bas 
niveau independent du langage du processeur P dudit dispositif 
D. Le compilateur c permet de realiser des verifications sur les 
agents portables Al, pour les restreindre dans leur 
environnement d' execution et proteger le dispositif D d' agents 
portables Al qui seraient mal intentionnes ou mal codes. Ainsi 
un agent executable A2 ne pourra pas, par exemple, utiliser 
toutes les fonctions de la bibliotheque du logiciel L et/ou ne 
pourra pas acceder a toute la memoire de travail et/ou de 
stockage du dispositif D. 

Le logiciel L realise 1' ensemble des traitements au 
sein du dispositif D : a ce titre, il peu t, selon le cas 
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d' utilisation, authentifier les utilisateurs du dispositif D, 
recuperer une politique de securite PS, recuperer avec ladite 
politique de security PS des agents portables Al specialises 
dans certaines fonctions de securite, recuperer les paquets de 
5 donnees PD, filtrer les paquets de donnees en fonction de ladite 
politique de securite PS, etc. 

Sur la figure 4, 1' automate de traitement des paquets 
du logiciel L est presente. Les elements suivants constituent 
cette figure : 
10 - 5 : Pas de paquet recu ; 

- 6 : Attendee l'arrivee d'un paquet ; 

- 51 : Paquet recu ; 

- 7 : Filtrer le paquet ; 

- 8 : Y a-t-il des agents executables A2 concernes par le 
15 paquet ? 

- 9 : Executer les agents executables A2 ; 

10 r Y a-f.-il des tra-i hpmpnf-g aecandaires 2 
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Effectuer les traitements secondaires sur le paquet ; 

- 12 : Envoyer le paquet ; 
20 - 13 : Paquet refuse ; 

- 14 : Paquet autorise ; 

- 15 : Non ; 

- 16 : Oui. 

Le logiciel L attend l'arrivee de nouveaux paquets. 
25 Apres reception, il verifie si le paquet est confbrme a la 
politique de securite PS et filtre le paquet en autorisant ou 
non son passage. Si le paquet est autorisd, le logiciel L 
verifie si des agents executables A2 sont concernes par le 
paquet, conformement a la politique de securite, et le cas 
echeant lesdits agents executables A2 sont executes. Le paquet 
subit ensuite optionnellement des traitements supplementaires 
(chiffrement...) . Apres traitement et s'il y est autorise par les 
agents executables A2, le paquet est envoye au destinataire, 
sinon il est detruit. 
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Afin de permettre au logiciel L de determiner si des 
agents doivent etre appeles pour realiser des traitements 
supplementaires sur les paquets, la politique de securite doit 
pouvoir contenir une definition des agents et des relations avec 
les autres elements de la politique de securite. 

II est possible de concevoir une politique de securite 
classique (pour un reseau utilisant la norme TCP/IP) , basee sur 
des actions d'autorisation et de refus de paquet en fonction des 
adresses IP source et destination, des ports source et 
destination et du protocole de transport, tout en lui rajoutant 
une liste d'agents a executer. Le tableau suivant n'est qu'un 
exemple de politique de securite et les agents donnes dans cette 
politique de securite ne sont eux-memes donnes qu'a titre 
d' exemple. 



Adresse 
source 


Adresse 
desti- 
nation 


Service 


Port 


Protocole 


Action 


Agent 


IP A 


IP B 


FTP 


21 


TCP 


Autorise 


Agent 
FTP 


IP A 


IP C 


P0P3 


110 


TCP 


Autorise 
Chiffr6 


Agent 
SSOn 
POP3 


IP A 


IP C 


SMTP 


25 


TCP 


Autorise 
Chiffr<§ 




IP A 


IP C 


HTTP 


80 


TCP 


Autorise 


Controle 
Parental 


All 


All 


All 


* 


All 


Refuse 





On pent voir sur ce tableau, que tout flux de 
communication est interdit entre des adresses Internet autre que 
IP A, IP B et IP c (demise ligne du tableau). Le flux de 
communication entre les adresses IP B et IP c est egalement 
interdit (il n'y a pas de regie explicite d'autorisation de 
communication entre B et C, c'est done la derniere ligne qui 
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prevaut) . Entre les adresses Internet IP A et IP B, tout le flux 
de communication est interdit mis a part le service FTP 
(protocole de trans fert de fichiers) , service sur lequel a ete 
rajoute un agent FTP charge de detecter la procedure de 
n^gociation dynamique de port du protocole FTP. Et entre les 
adresses IP A et IP C tout le flux est interdit mis a part ; 

le service pop3 (reception de courriers 
electroniques, Post Office Protocol - Version 3 : RFC 1939) qui 
est autorise, qui doit, dans cet exemple, etre chiffre et sur 
lequel a ete ajoute 1' agent SSOn POP 3 charge de detecter la 
procedure d'authentification et d'inserer automatiquement le mot 
de passe de 1'utilisateur . 

- le service SMTP (Simple Mail Transfer Protocol, 
protocole de transfert de courrier ^lectronique - RFC 821) qui 

15 est autorise et qui, dans cet exemple, doit etre chiffre. 

- le service HTTP (HyperText Transfer Protocol, 
navigation sur les pages Internal; - rfp 9.0^ mii <*<*i- 311 ^h C q 

et sur lequel est applique" un contr6le parental. 

La figure 5 represente un schema de reseau qui peut 
etre employe dans le cas d' application de la politique de 
securite decrite dans le tableau precedent. Ce reseau comprend 
trois hotes representes par les adresses Internet IP A, IP B et 
IP C, ces hotes sont relies au raeme reseau. Deux dispositifs Dl 
et D2 sont positionnes respectivement entre l'hote d'adresse IP 
25 A et le reste du reseau et entre l'hote d'adresse IP c et le 
reste du reseau. Ainsi les h6tes d' adresses IP A et IP B (ainsi 
que IP B et IP c) n'ont qu'un dispositif les separant alors que 
les hotes d' adresses IP A et IP C ont les deux dispositifs qui 
les separent . 

30 La figure 6 explique le fonctionnement de 1' agent FTP 

charge de detecter la procedure de negociation dynamique de 
port. Les elements suivants constituent cette figure : 

- 15 : Non ; 

- 16 : Oui ; 

35 -17 : Debut ; "" " 
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- 18 : Detection d'une negociation d'ouverture dynamique de 
port ; 

- 19 : Recuperation de l'IP B et du port X ; 

- 20 : Modification de la politique de securite par l'ajout 
d'une regie ; 

- 21 : Fin. 

Pour mieux comprendre l'utilite de 1' example de 
1' agent FTP utilise dans la figure 6, il faut expliquer le 
protocole FTP. Ce protocole est divise en deux flux de 
communication distincts : le premier est le flux de contr6le 
permettant d'envoyer les commandes au serveur et de recevoir les 
reponses. Ce flux utilise habituellement le port TCP 21 ; l e 
deuxieme est le flux de donnees des fichiers envoyes. Le port 
permettant de recuperer ce deuxieme flux est initialement 
inconnu car il est negocie dans le premier flux, ce qui rend 
impossible l'autorisation prealable du flux de donnees FTP 
pendant la phase de definition de la politique de securite. 

L' agent est appele pour chaque paquet FTP. il se 
charge de detecter la phase de negociation de port 
dynamique du flux de donnees FTP dans le flux de 
communication initial. Une fois qu'il l'a detectee, 1' agent 
recupere l'adresse IP B et le port negocie, ici X. Ensuite, 
il modifie la politique de securite en rajoutant une regie 
temporaire autorisant ce flux a passer. 
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Adresse 
source 


Adresse 
destination 


Service 


Port 


Protocole 


Action 


Agent 


IP A 


IP B 


FTP 


21 


TCP 


Autori 
se 


Agent 
FTP 


XF A 


IP C 


P0P3 


110 


TCP 


Autori 

se 
Chiffr 
e 


Agent 
SSOn 
POP3 


lr A 


IP c 


SMTP 


25 


TCP 


Autori 

se 
Chiffr 




IP A 


IP c 


HTTP 


80 


TCP 


Autori 
se 


Control 
e 

Parenta 
1 






FTP 










XF A 


IP B 


Data 


X 


TCP 


se 




All 


All 


All 




All 


Refuse 
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Nous pouvons constater dans le tableau precedent que 
1 'agent FTP, apres detection de la negociation dynamique de 
port, a rajoute une regie a la politique de securite, permettant 
aux h6tes d' adresse IP A et. IP B de s'envoyer des fichiers via 
le port negocie (X dans notre exemple) . ' 

Par ailleurs, la politique de securite du dispositif D 
peut etre fonction du ou des utilisateurs qui se sont identifies 
aupres du dispositif. Plusieurs methodes de realisation sont 
alors possibles. Deux methodes sont presentees.: une methode 
liee a un serveur d' authentication distant {figure 7) et une 
autre methode liee a une authentication locale (figure 8). 

Les elements suivants constituent la figure 7 : 

- 17 : Debut ; 

- 21 : Fin ; , 
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- 22 : un utilisateur U t s'authentifie sur le dispositif D a 
l'aide d'un moyen d' identification ; 

- 23 : Envoie de l'authentification au serveur distant ; 

- 24 : Verification de l'authentification par le serveur 
5 distant ; 

- 25 : Le serveur distant extrait : 

■ La politique de securite PS en fonction de 

1' utilisateur Ui, 
a Les agents portables Al correspondents , 
10 " L es parametres de configuration correspondants ; 

26 : Envoie de la politique de securite PS, des agents 
portables Al et des parametres de configurations au 
dispositif ; 

27 : Stockage de la politique de securite PS, des 
15 parametres de configuration et des agents executables A2 

qui ont et«§ obtenus apres compilation des agents 
portables Al par le compilateur C ; 

28 : Authentification refusee ; 

29 : Authentification accordee. 

20 E* 1 figure 7, un utilisateur Ui s'authentifie sur le 

dispositif D (ceci peut §tre realise" entre autre a l'aide d'un 
lecteur de carte a puce ou par un systeme d' identification 
biometrique...) . L'authentification est envoyee au serveur distant 
qui verifie l'authentification de 1 'utilisateur. si cette 

25 authentification est refusee, le serveur coupe la communication. 
Au contraire, si l'authentification est autorisee, le serveur 
construit la politique de securite PS en fonction de 
1' utilisateur U A en y incluant les agents portables Al et les 
parametres de configuration correspondants. Le serveur envoie 

30 alors toutes ces informations au dispositif D qui les stocke 
(par exemple en memoire) . L' utilisateur est alors authentifie et 
peut utiliser le dispositif avec sa politique de securite. 

Cette methode permet de centraliser toutes les 
politiques de sdcurit6 PS de tous les dispositifs D dans un ou 

35 plusieurs serveurs centraux sur lesquels 1' administration peut 
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se faire global ement. Cette methode permet en outre d'envoyer de 
nouveaux agents portables Al et done de modifier totalement le 
comportement de tout ou partie des dispositifs D. 

Les elements suivants constituent la figure 8 : 
5 - 17 : Debut ; 

- 21 : Fin ; 

- 27 : Stockage de la politique de securite" PS, des 
parametres de configuration et des agents A2 qui ont ete 
obtenus apres compilation des agents portables Al par le 

10 compilateur C ; 

28 : Authentif ication refusee ; 

29 : Authentif ication accordee ; 

- 30 : Un utilisateur Ui s'authentif ie sur le dispositif 
D a l'aide d'une application client/serveur dont 

15 1' application serveur se trouve dans le dispositif D ; 

- 31 : Verification. de 1' authentif ication par le 
dispositif D r 

32 : L ' application serveur extrait : 

■ La politique de securite PS en fonction de 
20 1 'utilisateur Ui, 

■ Les agents portables Al correspondants , 

■ Les parametres de configuration correspondants. 
En figure 8, un utilisateur s' authentif ie via une 

application serveur (par exemple un serveur HTTP) incluse dans 
25 le logiciel L du dispositif. L' application serveur verifie 
1' authentif ication. si celle-ci est correcte, 1 ' application 
serveur recupere et active alors la politique de securite PS de 
1' utilisateur U A (comme dans la figure 7). Les informations sont 
directement contenues dans le dispositif D. II est possible de 
30 parametrer ces fonctionnalites et, d'une facon pi us generale, la 
politique de securite PS, en fonction d'un utilisateur Ui. 
L' administration se fait, localement sur le dispositif D via 
1' application serveur. Cette methode peut §tre utilisee dans le 

^ adre d,un dispositif D unique pour un reseau familial accedant 

3 5 a Internet ou pour une petite entreprise. ' 
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Les figures 7 et 8 ne sont que des exemples 
d' implementation de 1' invention. II est tout a fait possible de 
coupler ces deux exemples et d' avoir une authentification de 
l'utilisateur a l'aide d'un serveur {Web ou autre) embarque dans 
le dispositif D et d' avoir un serveur central qui verifie cette 
authentification, genere la politique de securite puis la 
transmet au dispositif D. 

Les services autres que le filtrage classique des 
paquets realise par une ecluse (firewall) classique sont 
realises par les agents. Un agent peut potentiellement realiser 
n'importe quel traitement sur les paquets. L'exemple qui suit 
montre la facilite d' implementation d'un agent. 

La figure 9 illustre 1' automate d'un agent realisant 
une fonctionnalite tres originale de securite au niveau 
application (et non pas au niveau TCP/IP par exemple) . Les 
elements suivants constituent cette figure : 
15 : Non ; 

- 16 : Oui ; 
17 : Debut ; 
21 ': Fin ; 

33 : Initialisation de 1' agent ; 

- 34 : Le paquet contient-il la commande « USER » ? 

- 35 : Le paquet contient-il la commande « PASS » ? 

- 36 : Y a-t-il un mot de passe associe au nom 
d'utilisateur ? 

- 37 : Recuperation et stockage du nom d'utilisateur ; 

- 38 : Sauvegarde des parametres de 1' agent ; 

- 39 : Calcul de la taille des donnees a raj outer au 
paquet ; 

- 40 : Modification de la taille du paquet ; 

- 41 : Insertion du mot de passe dans le paquet. 

Cet agent se charge de realiser 
1' authentification d'un utilisateur a son serveur de 
messagerie electronique via le protocole POP3 (Post Office 
Protocol - Version 3 : rfc 1939, commandes 
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d' authentication de POP3 : RFC 1734) . L' utilisateur n'a 
plus a connaitre son mot de passe. L ' agent se charge de 
placer le mot de passe en fonction de l'identif iant de 
1 ' utilisateur . 

5 L ' automate de 1' agent est relativement simple. L ' agent 

cher che un paquet contenant la commande USER et extrait 
l'identif iant de 1' utilisateur si la commande est trouvee. Puis 
il cherche un paquet contenant la' commande PASS. Une fois qu'il 
l'a trouvee, 1' agent retrouve le mot de passe correspondant k 
10 l'identif iant, calcule la taille a raj outer au paquet, agrandit 
le paquet et insere le mot de passe valide. 

Voici un exemple de ce code ecrit en « C », 
langage informatique de haut niveau. 

15 int main() 
{ 

/* definition des variables */ 

int packet_size; 

char *packet ; 

20 char * (param[6] ) ; 

int error, login_size, offset, pass_size; 

/* Recuperation du paquet et des parametres de 
1 ' agent * / 

if ( ! ( packet = agent_getPacketData ( &packet_size) ) ) 
return OK; 

agent_getAgentParam( param) ; 
/* On cherche la commande USER pour 

recup^rer le login */ 
if ( !strncmp( packet, "USER " , 5)) 
{ 

login_size = size - 7; 
if (login_size > 32) 
return -1; 

/* On sauvegarde le login et* sa taille""*/ 
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strncpy( param[l] , packet + 5, login_size) ; 
(int) (param[2] ) = login_size; 

} 

/* On cherche la commande PASS pour inserer 

le mot de passe */ 
if ( !strncmp( packet, " PASS 5)) 
{ 

/* On recupere le mot de passe 

correspondant au login */ 
if ( {offset = agent_getMatch ( param[0], param[l] , 
(int) (param[2] ) ) ) == -l) 
return OK; 

pass_size = strlen( param[0] + offset); 
/* On augmente la taille du paquet 

et on insere le passe */ 
agent_modifyMemSpace< packet + 5, pass_size) ; 
strncpy{ packet + 5, param[l], pass_size) ; 

} 

/* Sauvegarde des parametres de 1' agent */ 
agent_saveAgentParam ( param) ; 
return OK,- 



} 



Cet exemple montre bien la facilite apportee par la 
presente invention pour permettre le rajout de nouvelles 
fonctionnalites de securite et/ou de gestion du reseau, sur le 
dispositif D. En quelques lignes de codes, il est possible 
d'effectuer des operations sur les paguets. Etant donne la 
facilite d'acces aux paquets des flux de communication, 1' agent 
pent rapidement lire et modifier les donnees des paquets. Ainsi, 
tout developpeur pent ecrire ses propres agents et augmenter sa 
base de fonctionnalites. Avec 1' apparition de nouvelles menaces, 
1' implementation de nouveaux agents detectant ces menaces et y 
remediant est rapide et efficace. La diffusion a 1' ensemble des 
dispositifs protege de maniere homogene et instantanee 
1' ensemble du pare inf ormatique . Concernant des services tels 
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que celui presente plus haut, une politique de securite globale 
peut etre deployee de la meme maniere a tout un reseau 
inf orcnatique . 

La figure 10 presente un autre mode de realisation de 
5 1' invention. Deux utilisateurs Ul et U2, sur deux postes 
differents POl et P02, sont identifies aupres du dispositif D et 
ont leur propre politique de securite. Tout flux de 
communication provenant du reseau R a destination d'un des 
postes est filtre avec la politique de security correspondant a 
10 l'utilisateur du poste. 

Cet exemple ne limite pas la presente invention a deux 
utilisateurs. La presente invention est capable de proteger 
autant de postes et/ou d' utilisateurs que souhaite, et cela, si 
souhaite, avec des politiques de securite PS differentes pour 
15 chacun d'eux. 

Afin d'optimiser 1' execution des agents execu tables A2 * 

sur les paquets, — un cache de mn uefcs pennet dg n^envnvPr any 

agents executables A2 qu'une seule version d'un meme paquet et 
done de leur presenter un flux coherent. Le cache de paquets 
permet de prendre en charge les paquets deja regxis afin de ne 
pas perturber les algorithmes des agents qui ne s'attendent pas 
a recevoir une nouvelle fois un paquet deja traite. Ces 
phenomenes sont connus sous le nom de re-emission de paquets et 
sont presents au niveau du protocole TCP. 
25 La figure 11 donne 1' automate general d'uri cache de 

paquets. Les elements suivants constituent cette figure : 

15 : Non ; 

16 : Oui ; 

- 42 : Arrivee d'un paquet dans le dispositif ; 
3 0 - 43 : Le paquet a-t-il deja ete regu ? 

44 : Le paquet a-t-il ete modifie pr^cedemment par les 
agents ? 

45 : Envoi du paquet modifie sauvegarde ; 

46 : Envoi du paquet ; { 

35 - 47 : Traitement par les agents ; " " " 



20 



36 



48 



Le paquet a-t-il ete modifie par les agents ? 



- 49 : Memorise le paquet et les informations qui 
1'identifient ; 

- 50 : Memorise les informations identifiant le paquet. 

Lorsqu'un paquet est regu (42), le cache de paquet 
verxfxe si le paquet a deja ete regu precedemment (43). Dans la 
negative, les agents concemes par le paquet sont appeles (47) 
Une foxs traitees, les informations permettant d' identifier le 
paquet (par exemple, son numero de sequence TCP) sont 
sauvegardees ((49) ou (50)). si le paquet a ete modifie par les 
agents, le paquet modifie est sauvegarde avec les informations 
l'xdentifiant (49) puis il est envoye sur le reseau (46). sinon 
xl est sxmplement envoye sur le reseau (46) apres sauvegarde des 
xnformations permettant de l'identifier (50). Si le paquet a 
dej* ete regu <c<est-a-dire si on retrouve les informations 
l'xdentxfiant dans le cache de paquet), le cache de paquet 
verxfxe si le paquet modifie est sauvegarde (44) , auquel cas le 
paquet modifie est envoye sur le reseau sans execution des 
agents (45) . Sinon, le paquet deja regu est directement envoye 
sur le reseau sans execution des agents (46) . On garantit ainsi 
aux agents qu'ils ne recevront pas une nouvelle fois un paquet 
qu'ils ont deja traite. 

Illustrons un cas particulier possible : un agent 
charge de detecter un virus suspecte la presence d'un virus dans 
un paquet 1, mais necessite de realiser une analyse du paquet 2 
pour en etre convaincu. Si le paquet 1 est regu pour la deuxieme 
foxs (paquet 1 bis), 1'agent realisera le traitement du paquet 2 
sur ce paquet 1 bis, ce qui faussera 1'analyse. Le cache de 
paquet permet de renvoyer directement la bonne version du paquet 
1 sans executer les agents. Deux cas se presentent : le paquet 1 
a ou n'a pas ete modifie par un agent lors de sa premiere 
receptxon. Dans le premier cas, le paquet 1 modifie a ete 
sauvegarde la premiere fois. C'est la version sauvegardee qui 
est envoyee sans executer les agents. Dans le second cas, le 
paquet 1 bis est renvoye directement sans execution des agents 
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Les agents disposent de noiribreuses fonctions de 
traitement des paquets. Mais ils disposent egalement de 
fonctions leur permettant de communiquer avec 1' ensemble des 
elements constitutifs du reseau. Ces fonctions sont 
5 indispensables pour mettre en place' une securite globale du 
reseau. 

La figure 12 en demontre l'interet. Considerons un 
reseau R peu sur, dans lequel evolue un pirate informatigue 
depuis un poste H. Ce pirate elabore une attaque (1) en 
10 destination d'un serveur web SW d'une entreprise, ce serveur web 
etant accessible via un routeur ro. Le serveur web SW est 
protege par le dispositif D (mettant en ceuvre 1 ' invention) . 
L ' agent A est charge de securiser le serveur web. A la detection 
de 1' attaque (1), 1' agent A bloque 1' attaque (1) et envoie un 
15 ordre (2) de reconfiguration du routeur RO afin de bloquer les 
communications venant du poste H (par exemple via le protocole 

- SNMP) , T1 envoi P alors un messanP r\ 'awH a ae rn ggt m a » c^^.^ 

de log SL centralisant un journal des evenements .(par exemple 
via le protocole syslog) . Le dispositif D est ainsi reactif aux 
attaques et il peut communiquer aux autres peripheriques reseau 
des informations oeuvrant pour la securite du reseau. 

La figure 13 presente 1 ' utilisation de fonctions F 
d'une bibliotheque de fonctions BF contenue le logiciel L, 
certaines de ces fonctions F pouvant etre associees a des 
25 composants materiels specialises CM presents dans le dispositif 
D. Le processeur p contenu dans le dispositif D execute 4 le 
logiciel L. Le logiciel L fait appel a des fonctions F contenues 
dans la bibliotheque de fonctions BF. Ces fonctions F peuvent 
etre codees sous la forme d'un logiciel execute par le 
30 processeur P. Files peuvent aussi utiliser (52) des composants 
materiels specialises CM qui leur sont associes. 
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REVINDICATIONS 



1. Procede permettant de realiser 1' analyse et/ou 
la modification selective et/ou le filtrage selectif de paquets 
de donnees (PD) traversant un dispositif (D) place en coupure 
dans un reseau informatique (R) ; ledit dispositif (D) 
comprenant un processeur (P) executant un cortpilateur (C) et un 
logiciel (L) conformement a une politique de securite (PS) ; 
ledit precede etant caracterise en ce qu'il comprend les etapes 
suivantes : 

- l'etape de definir ladite politique de securite (PS) 
au moyen d' agents portables (Al) , ecrits dans un langage 
informatique (Li) independent du langage dudit processeur (P) et 
dedies a 1' analyse et/ou a la modification selective et/ou au 
filtrage selectif desdits paquets de donnees (PD) ; 

- l'etape de demarrer 1' execution dudit cortpilateur 

(C) par ledit logiciel (l) , pour traduire lesdits agents 
portables (Al) en des agents executables (A2) ecrits dans le 
langage dudit processeur (P) ; 

- l'etape d'executer ledit logiciel (L) pour filtrer 
lesdits paquets de donnees (PD) traversant ledit dispositif (D) , 
en autorisant ou non leur passage, conformement a ladite 
politique de securite (PS) ; 

- l'etape d' analyser, lesdits paquets de donnees (PD) 
autorises par ledit logiciel (L) a traverser ledit dispositif 

(D) , en executant lesdits agents executables (A2) par ledit 
processeur (P) ; et/ou 

- l'etape de modifier selectivement, lesdits paquets 
de donnees (PD) autorises par ledit logiciel (L) a traverser 
ledit dispositif (D), en executant lesdits agents executables 
(A2) par ledit processeur (P) ; et/ou 

- l'etape de filtrer selectivement, lesdits paquets de 
donnees (PD) autorises par ledit logiciel (L) a traverser ledit 
dispositif (D), en executant lesdits agents executables (A2) par 
ledit processeur (P) . 
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2. Procede selon la revendication 1, caracterise en 
ce que ladite politique de securite (PS) comprend en outre une 
definition des differents objets dudit reseau informatique (R) . 

3. Procede selon l'une quelconque des 
revendications 1 ou 2, caracterise en ce que ladite politique de 
securite (PS) comprend en outre une definition des differents 
services dudit reseau informatique (R) . 

4. Procede selon l'une quelconque des 
revendications 1 a 3, caracterise en ce que ladite politique de 
securite (PS) comprend en outre une definition des differents 
utilisateurs (Ui) dudit reseau informatique (R) . 

5. Procede selon la revendication 4, caracterise en 
ce qu'il comprend en outre 1'etape de generer des parametres de 
configuration permettant de configurer lesdits agents portables 
(Al) en fonction desdits utilisateurs (Ui) dudit reseau 
informatique (R) . 

Beocade selon 1 'une m^n dns 
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revendications 1 a 5, caracterise en ce que ladite politique de 
securite (PS) comprend en outre une definition dudit dispositif 
(D) . 

7. Procede selon l'une quelconque des 
revendications 1 a 6, caracterise en ce que ledit langage 
informatique (Li) est un langage de bas niveau dedie a des 
traitements sur lesdits paquets de donnees (PD) dudit reseau 
informatique (R) et permettant de controler et de limiter les 
actions possibles desdits agents portables (Al) au sein dudit 
dispositif (D) . 

8. Procede selon l'une quelconque des 
revendications 1 a 7, caracterise en ce qu'il comprend en outre 
1'etape de definir, sur un. serveur distant dudit dispositif (D) , 
ladite politique de securite (PS) . 

9. Procede . selon l'une quelconque des 
revendications 1 a 1, caracterise en ce qu'il comprend en outre 

1 '^ tape de d4finir ' sux _ ledi t dispositif (D), ladite politique 
de securite (PS) . " " ' - . - 
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10. Procdde selon l'une quelconque des 
revindications 1 a 9, caracterise en ce qu'il comprend en outre 
l'etape d'authentifier le ou les utilisateurs (Ui) , non 
authentifies, dudit dispositif (D) . 

11. Procede selon la revendication 10, caracterise 
en ce que ladite politique de securite (PS) comprend en outre 
une definition desdits utilisateurs (Ui) authentifies dudit 
dispositif (D) . 

12. Procede selon la revendication 11, caracterise 
en ce qu'il comprend en outre l'etape d'authentifier ledit ou 
lesdits utilisateurs (Ui) , non authentifies, dudit dispositif 
(D) a l'aide d'un nioyen d' identification associe audit 
dispositif (D) . 

13. Procede selon la revendication 11, caracterise 
en ce qu'il comprend en outre l'etape d'authentifier ledit ou 
lesdits utilisateurs (Ui) , non authentifies, dudit dispositif 
(D) a l'aide d'une application client/serveur dont 1' application 
serveur est contenue dans ledit dispositif (D) . 

14. Procede selon l'une quelconque des 
revendications 1 a 13, caracterise en ce qu'il comprend en outre 
l'etape d'executer des fonctions (F) d'une bibliotheque de 
fonctions (BF) contenue dans ledit logiciel (L) et appelee par 
lesdits agents executables (A2) . 

15. Procede selon la revendication 14 caracterise, 
en ce qu'il comprend en outre l'etape d'executer des fonctions 
(F) , de ladite bibliotheque de fonctions (BF) , specialises dans 
une gestion d'un cache desdits paquets de donnees (ED) . 

16. Procede selon la revendication 15, caracterise 
en ce que la gestion dudit cache desdits paquets de donnees <pd) 
comprend les e tapes suivantes : 

- l'etape, apres execution desdits agents executables 
(A2), de memoriser, dans ledit cache, des informations de 
paquets concemant lesdits paquets de donnees (PD) et en outre 
lesdits paquets de donnees (PD) eux-memes lorsqu'ils ont ete 
modifies lors de ladite execution ; 
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- l'etape, lors de 1'arrivee d'un paguet entrant dans 
ledit dispositif (D) , de verifier, grace audites informations de 
paquets enregistrees dans ledit cache, si ledit paquet entrant 
est un paquet d<§ja regu ; 

- l'etape, lorsque ledit paguet entrant n'est pas un 
paquet deja regu, d'executer lesdits agents executables (A2) , 

- l'etape, lorsque ledit paquet entrant est un paquet 
de 3 a regu, de determiner, grace audites informations de paguets 
memories dans ledit cache, si ledit paquet deja regu avait ete 
modifie par lesdits agents executables <A2) ; 

~ 1,6tape ' lors ^ e ledit paquet deja regu avait ete 
modifie par lesdits agents executables (A2) , de transmettre vers 
ledit reseau informatigue (R) , sans executer lesdits agents 
executables <A2> , une version dudit paguet deja regu memorisee 
dans ledit cache ; 

- l'etape, lorsgue ledit paquet deja regu n'avait pas 
ete modifie par lesdits agents executables (A2j e de t-.™™^^ 
vers ledit reseau informatigue (R) ledit paguet entrant tel 
quel, sans executer lesdits agents executables (A2) . 

17. Precede selon l<une guelconque des 
revocations 14 a 16, caracterise en ce qu'il comprend en 
^"J" Neuter des fonctions (F) , de ladite 
bibliotheque de fonctions (BP), specialises dans une gestion 
des couches reseau et transport du protocole de cononunication 
utilise. 

18. Procede selon la revendication 17 caracterise" en 
ce que la gestion desdites couches reseau et transport comprend 
en outre les etapes suivantes : 

- l'etape de memoriser des informations de protocole 
desdites couches reseau et transport desdits paquets de donnees 
(PD) traversant ledit dispositif (D) afin de realiser un suivi 
des dif f erents flux desdits paquets de donnees (PD) ; 

l'etape de memoriser des modifications desdits 

paquets de donnees (PD) realises rar iccai*-^ - 

' j-eansees par lesdits agents executables 

( A2 ) ; - " - - - .. . _ . . 
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- l'etape de mettre a jour lesdites informations de 
protocole desdites couches reseau et transport desdits paquets 
de donnees (PD) traversant ledit dispositif (D) , en fonction 
desdites informations de protocole et desdites modifications 
5 memorisees, sur lesdits paquets de donnees (PD) afin de 
conserver une coherence des flux desdits paquets de donnees 
(PD) . 

19. Procede selon l'une quelconque des 
revendications 14 a 18 caracterise en ce qu'il comprend en 

10 outre l'etape d'executer des fonctions (F) , de ladite 
bibliotheque de fonctions (BP) , specialisees dans une 
recherche de motifs et d' expressions regulidres. 

20. Procede selon l'une quelconque des 
revendications 14 a 19 caracterise en ce qu'il comprend en 

15 outre l'etape d'executer des fonctions (F) , de ladite 
bibliotheque de fonctions (BP) , specialisees dans une 
communication entre lesdits agents executables (A2). 

21. Procede selon l'une quelconque des 
revendications 14 a 20 caracterise en ce qu'il comprend en 

20 outre l'etape d'executer des fonctions (F) , de ladite 
bibliotheque de fonctions (BF) , specialisees dans une 
communication entre lesdits agents executables (A2) et 
desdits objets dudit reseau informatique (R) . 

22. Procede selon l'une quelconque des 
25 revendications 14 k 21 caracterise en ce qu'il comprend en 

outre l'etape d'associer des composants materiels 
specialises (CM) dudit dispositif (D) a des fonctions (F) 
de ladite bibliotheque de fonctions (BF) afin d'accelerer 
1' execution desdites fonctions (F) . 
30 23. Procede selon l'une quelconque des 

revendications 1 a 22 caracterise en ce qu'il comprend en 
outre l'etape de modifier ladite politique de securite (PS) 
en executant lesdits agents executables (A2) par ledit 
processeur (P) . 
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24. Systeme permettant de realiser 1' analyse 
et/ou la modification selective et/ou le filtrage selectif 
de paguets de donnees (PD) , ledit systeme covenant - 

- un dispositif (D) traverse par lesdits paguets de 
donnees (PD) et place en coupure dans un reseau inforxnatigue 

' 1Sdlt ^Poe^f (D) comprenant un processeur (P) executant 
un corrpilateur ( C ) et un logiciel (L) conferment a une 
polxtxgue de security (PS) et ; 

- des agents portables (Al) , destines a definir ladite 
polxtxgue de securite (PS) , ecrits dans un langage inforxnatigue 
(Lx) xndependant du langage dudit processeur (P) et dedies a 

s^Tl y 7« ^ m0difiCati ° n -*«*±~ et/ou le fil trage 

selectxf desdxts paguets de donnees (PD) ; 

ledit compilateur (C) etant active par ledit logiciel 
, POUr tradU±re lesdits ^ents portables (Al) en des agents ■ 
executables (A2) ecrits dans le langage dudit processeur (P, . 

LTtrer'Tsd! 1 . ~ ~ ^ * ^ 

fxltrer lesdxts paguets de donnees (pd) traversant ledit 

dxsposxtxf ( d, en autorisant ou non leur passage, conformexnent - 
a ladxte polxtxgue de securite (PS) ; 

lesdits agents executables (A2) etant executes par-" 
ledxt processeur (P) pour : 

_ . ~ leasts paguets de donnees (PD) autorises 

par ledxt logxcxel (l») a traverser ledit dispositif (d) , et/ou 

- modifier selectivement lesdits paguets de donnees 
(PD) autorxses par ledit logiciel (L) a traverser ledit 
dxspositif (D), et/ou 

fpnl ~ fUtrer sele ctivement lesdits paguets de donnees 

(PD) autorxses par ledit looici^i rr \ ± *. 
, A ^. . j-ogxcxex (L) a traverser ledit 

3 0 dispositif (D). -teoxc 

25. Systeme selon la revendication 24 ; ledit 
systeme etant tel gue . ladite politigue de securite (PS) 
comprend en outre une definition des differents objets 
dudxt reseau inforxnatigue (R) . J 
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26. Systeme selon l'une quelconque des 
revendi cations 24 ou 25 ; ledit systeme etant tel que 
ladite politique de security (PS) comprend en outre une 
definition des differents services dudit reseau 

5 informatique (R) . 

27. Systeme selon l'une quelconque des 
revendi cat ions 24 & 26 ; ledit systdme etant tel que ladite 
politique de securite (PS) comprend en outre une definition 
des differents utilisateurs (Ui) dudit reseau inf ormatique 

10 (R) . 

28. Systeme selon la revendication 27 
caracterise en ce qu'il comprend en outre des moyens de 
generation de parametres de configuration pour configurer 
lesdits agents portables (Al) , en fonction desdits 

15 utilisateurs (Ui) dudit reseau informatique (R) . 

29. Systeme selon l'une quelconque des 
revendications 24 a 28 ; ledit systeme etant tel que ladite 
politique de securite (PS) comprend en outre une definition 
dudit dispositif (D) . 

20 30. Systeme selon l'une quelconque des 

revendications 24 a 29 ; ledit systeme etant tel que ledit 
langage informatique (Li) est un langage de bas niveau 
dedie a des traitements sur lesdits paquets de donnees (PD) 
dudit reseau informatique (R) et permettant de controler et 

25 de limiter les actions possibles desdits agents portables 
(Al) au sein dudit dispositif (D) . 

31. Systeme selon l'une quelconque des 
revendications 24 a 30 caracterise en ce qu'il comprend un 
serveur distant dudit dispositif (D) pour definir ladite 

30 politique de securite (PS) . 

32. Systeme selon l'une quelconque des 
revendications 24 a 30 ; ledit systeme £tant tel que ledit 
dispositif comprend des moyens d' administration pour 
definir ladite politique de securite (PS) . 
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33. Systeme selon l'une quelconque des 
revendications 24 a 32 caracterise en ce qu'il comprend des 
moyens d' authentif ication du ou des utilisateurs (Ui) , non 
authentifies, dudit dispositif (D) . 

34. Systeme selon la revendication 33 ; ledit 
systeme etant tel que ladite politique de securite (PS) 
comprend en outre une definition desdits utilisateurs (U ± ) 
authentifies dudit dispositif (D) . 

35. Systeme selon la revendication 34 
caracterise en ce que ledit dispositif (D) comprend un 
moyen d' identification pour authentif ier ledit ou lesdits 
utilisateurs {Ui) , non authentifies, dudit dispositif (D) . 

36. Systeme selon la revendication 34 
caracterise en ce que ledit dispositif (D) comprend une 
application serveur d'une application client /serveur 
destinee a authentifier ledit ou lesdits utilisateurs (U ± ) , 



37. Systeme selon l'une quelconque des 
revendications 24 a 36 caracterise en ce que ledit logiciel 
comprend une bibliotheque de fonctions (BF) dont les 
fonctions (f) sont appelees par lesdits . agents executables 
(A2). 

3 8.. Systeme selon la revendication 37 ; ledit 
systeme etant tel que ladite bibliotheque de fonctions (BF) 
comprend en outre des fonctions (F) specialisees dans une 
gestion d'un cache desdits paquets de donnees (PD) . 

39. Systeme selon la revendication 

38 caracterise en ce que ledit cache desdits paquets de 
donnees (PD) comprend : 

- une memoire pour stocker, apres execution 
desdits agents executables (A2) , des informations de 
paquets concernant lesdits paquets de donnees (PD) et pour 
stocker lesdits paquets de donnees (PD) eux-memes ; 

" d ? s "^y® 113 de contr6le pour verifier, grace 
audites informations de paquets " memorisees "dans ledit 
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cache, si un paquet entrant est un paquet deja recu et s'il 
avait ete modifie par lesdits agents executables (A2) ; 

- des moyens d' activation pour activer,' en 
fonction des verifications operees par les moyens de 
contr6les , 

• soit des moyens de transmission pour 
transmettre vers ledit reseau informatique (R) sans 
modification un paquet de donnees (PD) stocke dans ladite 
memoire ; 

• soit des moyens de transmission pour 
transmettre vers ledit reseau informatique (R) sans 
modification un paquet entrant. 

40. Systeme selon 1'une quelconque des 
revendications 37 a 39 ; ledit systeme etant tel que ladite 
bibliotheque de fonctions (BF) comprend en outre des fonctions 
(F) specialises dans une gestion des couches reseau et 
transport du protocole de communication utilise. 

41. Systeme selon la revendication 40 ; ledit 
systeme etant. tel que ledit dispositif (D) comprend : 

- au mo ins une memoire 

• pour stocker des informations de protocole 
desdites couches reseau et transport desdits paquets de 
donnees (PD) traversant ledit dispositif (d) afin de 
realiser un suivi des differents flux desdits paquets de 
donnees (PD) , 

• pour stocker des modifications desdits paquets 
de donnees (PD) realisees par lesdits agents executables 

(A2) ; 

- des moyens de mise a jour desdites informations 
de protocole desdites couches reseau et transport desdits 
paquets de donnees (PD) traversant ledit dispositif (D) en 
fonction desdites informations de protocole et desdites 
modifications memorisees, sur lesdits paquets de donnees 
(PD) afin de conserver une coherence des flux desdits 
paquets de donnees (PD) . 
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42. Systeme selon l'une quelconque des 
revendications 37 a 41 ; ledit systeme etant tel que ladite 
bibliotheque de fonctions (BF) comprend en outre des fonctions 
(F) specialises dans une recherche de motifs et d' expressions 
regulieres . 

43. Systeme selon l'une quelconque des 
revendications 37 a 42 ; ledit systeme etant tel que ladite 
bibliotheque de fonctions (BF) comprend en outre des fonctions 
(F) specialises dans une communication entre lesdits agents 
executables (A2) . 

44. Systeme selon l'une quelconque des 
revendications 37 a 43 ; ledit systeme etant tel que ladite 
bibliotheque de fonctions (BF) comprend des fonctions (F) 
specialisees dans une communication entre lesdits agents 
executables <A2) et desdits objets dudit reseau informatique 
(R) . 

^ Syst&ne selon l'une cruel conm^ ^ 

revendications 37 a 44 caracterise en ce que ledit dispositif 
(D) comprend des composants materiels specialises (CM) associes 
a des fonctions (F) de ladite bibliotheque de fonctions (BF) 
afin d'accelerer 1' execution desdites fonctions (F) . 

46. Systeme selon l'une quelconque des 
revendications 24 a 45 ; ledit systeme etant tel que lesdits 
agents executables (A2) , executes par ledit processeur (P) , 
modifient ladite politique de securite (PS) . 
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